Hey Leute,
ich bin zur Zeit dabei mich etwas tiefer in das Thema "iptables & Co" einzulesen / -arbeiten. Und da kamen nun ein paar Fragen auf. Vielleicht gibts noch andere die sich mit diesem Bereich bisschen intensiver auseinander setzten wollen / müssen bzw. andere die sich deutlich besser damit auskennen als die "normal" Users.
Von daher stelle ich euch erstmal vor, wie mein Heimnetzwerk aufgebaut ist und ich denke es wird bei vielen ähnlich sein. Im Anschluß stelle ich meine Pläne bzw. Ideen für die Zukunft vor.
In meinem Netzwerk befinden sich zur Zeit folgende Teilnehmer:
- Modem von Unitymedia
- TP-Link Router
- LED TV Gerät
- BluRay Player
- NAS Festplatte von Medion (Habe ich mir besorgt, weil ich kurzfristig / günstig viel Speicher benötigte)
- 2 Laptops zur Zeit per W-LAN eingebunden
- 2 Smartphones mit Windows 8
- 2 PCs (Desktop PCs teileweise in Betrieb)
- 1 Pi mit Web Server, Div. Sensoren (z.B. DS18x20, DHT11, ...), Funksteckdosenmodul, und Co.
- 1 Pi als Webradiostation und Co. (Noch in Planung und Ausarbeitung)
- Mehrere PowerLine Adapter von TP-Link, da ich nicht überall ohne weiteres Netzwerkkabel hin legen kann
Auf Dauer habe ich mir überlegt das ganze umzustricken, den Punkto Datensicherheit und Co. ist hier noch recht wenig aktiv. Ich habe mir überlegt den Pi mit dem Webserver und den Elektronikmodulen in eine DMZ zu Stecken, da der Webserver aus dem WWW erreichbar sein soll. Jedoch soll auf dem Webserver eine Webseite speziel nur für das LAN verfügbar bleiben. Und zwar die, über die ich die Funksteckdosen schalte.
Ist schließlich etwas doof, wenn mitten im Film an einer Spannenden Stelle ein Spaßvogel mir den TV einfach ausschaltet
Dadrüber hinaus soll die NAS Festplatte später auch nur aus dem Internen Netzwerk zugreifbar sein, lediglich eine Freigabe soll für den Pi zur Verfügung stehen, auf dieser er die Daten für den FTP Account bzw. Cloud hinterlegen kann, so spare ich mir eine Extra Platte an den Pi zu hängen.
EVTL. soll in Zukunft noch ein Mailserver hinzu kommen und ggf. ein DomainController über einen Samba-Dienst. Aber dies soll dann der Pi übernehmen und lediglich die NAS als Speicherplatz nutzen, vielleicht erhält er doch auch in Zukunft eine eigene Platte aber das kann man dann noch mal gucken.
Zur Zeit läuft auf meinem Router die Paketweiterleitung auf die IP des Server Pis für die Ports HTTP bzw. HTTPs um so möglichst wenig Löcher zu Produzieren.
Macht es evtl. eigentlich Sinn, wenn man den SSH Dienst auch aus dem WWW verfügbar machen möchte über andere Wege noch zu schützen wie VPN oder so?
Vielleicht hat jemand schon was ähnliches umgesetzt oder ist selber dabei, dann kann man solche Ideen ja auch gemeinsam erarbeiten. Und macht es ggf. Sinn die Dienste auf mehrere Pis auf zuteilen oder reicht ein einzellner Pi voll und ganz?
Michael
PS: Aktuallisierungen werde ich nach und nach hinzufügen um andere auf den Stand zu bringen und um so ggf. auftredende Fehlideen von mir gleich korrigieren zu lassen. Also bitte, ruhig äußern wenn manche Ideen ggf. unvorteilhaft sind bzw. besser gelöst werden können.